Googleは、7件のセキュリティホールを修正した安定版の「Google Chrome」(バージョン5.0.375.125)を発表するとともに、こうした脆弱性に対するソフトウェア業界の対応を早める取り組みを開始している。
GoogleのChrome部門に所属するJason Kersey氏が米国時間7月26日に投稿した同ブラウザの最新版に関するブログによると、同社は、Windowsと広く使われているglibc(GNU Cライブラリ)の脆弱性を迂回することにより、Chromeが深刻なセキュリティ問題を回避するのに貢献した2人に対し、それぞれ1337ドルの報奨金を支払ったという。
Googleはまた、Chromeのセキュリティホールを発見した人に報奨金を支給するプログラムを通じて、深刻度が「高」レベルの脆弱性3件と「中」レベルの脆弱性1件についても、各発見者に報奨金を支払った。ただし、残りの1件の問題は危険度が「低」レベルのため、報奨の対象外だった。
このインセンティブプログラムは、2010年7月にGoogleが深刻なバグの発見者に支払う報奨金の上限を3133.7ドルに引き上げると発表し、一層本格化している。
Googleは、セキュリティホールの発見者に報奨金を支払うだけでなく、さまざまな方法でセキュリティ策を進めようとしている。Googleのセキュリティチームは7月20日のブログ投稿で、新しく発見された脆弱性に関する情報を共有するために、「責任ある開示」の慣行を改革することを呼びかけた。
責任ある開示の場合、セキュリティ研究者は非公開で脆弱性をソフトウェアメーカーに報告し、メーカーが修正を提供できる段階になってようやくその情報を公表できる。これとは対照的に、完全な開示の場合、猶予期間がなくなるが、ソフトウェアのユーザーには危険が及ぶ可能性を速やかに知らせることができる。いずれにしろ、コンピュータの攻撃者は、自力で脆弱性を発見し、ソフトウェアメーカーが修正を準備する前にその脆弱性を悪用するかもしれないのだ。
Googleのセキュリティチームは7月20日のブログ投稿で次のように述べた。「『責任ある』開示という大義名分を掲げるあまり、無期限に、時には何年も脆弱性の修正が遅れてしまうベンダーが増えている。こうして時間がたつ間に、倫理意識を持った研究者が使うものと同じツールや手法を用いる悪意あるユーザーによって、これらの脆弱性が再発見され、悪用される場合もある」
「われわれは、責任ある開示とは相互的な関係にあると考えている。ベンダーは、研究者と同様に、責任を持って行動しなければならない。深刻なバグは相応の期間内に修正される必要がある。個々のバグによって事情は異なるが、広範に普及しているソフトウェアの真に深刻な問題に対しては、妥当な期限として60日という期間を提案したい」(Google)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス